Tin tặc tấn công các lỗ hổng SIP của tường lửa Cisco

Diễn đàn - Ngày đăng : 14:43, 09/11/2018

Không có bản vá lỗi hoặc giải pháp nào có sẵn cho hai lỗi phần mềm được tìm thấy tuần trước

hacking

Các mã độc và phần mềm độc hại đang khai thác lỗ hổng liên quan đến Giao thức Khởi tạo phiên (SIP) trong hai sản phẩm của Cisco để kích hoạt mức sử dụng CPU cao và đưa hệ thống vào ngoại tuyến.

SIP là giao thức báo hiệu được sử dụng để thiết lập và duy trì các phiên thời gian thực, chẳng hạn như cuộc gọi âm thanh hoặc video trực tuyến. Các lỗ hổng đó là kết quả của việc xử lý không chính xác lưu lượng SIP, có thể được khai thác bởi kẻ tin tặc khi chúng “gửi các yêu cầu SIP được thiết kế để kích hoạt cụ thể vấn đề này ở tốc độ cao”, theo Cisco ASA Software.

Nếu khai thác chính xác, nó có thể khiến thiết bị bị ảnh hưởng phải tiến hành tải lại hoặc kích hoạt mức sử dụng CPU cao, dẫn đến việc từ chối dịch vụ (DoS).

Lỗi này được tìm thấy trong phần mềm bảo mật thích ứng của Cisco (ASA) và Firepower Threat Defense (FTD) chạy trên một loạt các thiết bị vật lý và ảo của Cisco. Chúng bao gồm thiết bị bảo mật công nghiệp 3000 Series, thiết bị ảo bảo mật thích ứng và mô-đun bảo mật Firepower 9300 ASA.

Lỗ hổng này đang được khai thác với đầu ra là “show conn port 5060” (ở cổng 5060 trên router thường được dành riêng cho lưu lượng SIP) cho thấy hiện đang có một số lượng lớn các kết nối SIP không đầy đủ với mức sử dụng CPU cao.

Người dùng có thể xác định xem phần mềm của họ có bị ảnh hưởng hay không bằng cách chạy lệnh “show version” trên UI, với lỗi tìm thấy trong ASA phiên bản 9.4 hoặc FTD phiên bản 6.0 trở lên.

Các thiết bị bị ảnh hưởng khác bao gồm tường lửa thế hệ tiếp theo ASA 5500-X, mô-đun dịch vụ ASA cho thiết bị chuyển mạch Cisco Catalyst 6500 và bộ định tuyến Cisco 7600, thiết bị ảo bảo mật thích ứng (ASAv), Firepower Series 2100 và thiết bị bảo mật 4100 Series và FTD Virtual ( FTDv).

Cisco đã cho biết không có bản vá lỗi nào có sẵn cho lỗi này được tiết lộ vào tuần trước, cũng như bất kỳ giải pháp nào khác ngoài việc giảm nhẹ tùy chọn duy nhất cho các tổ chức bị ảnh hưởng. Công ty đã đưa ra bốn lựa chọn cho khách hàng có thể bị tấn công.

Đó là vô hiệu hóa kiểm tra SIP hoàn toàn sẽ đóng hoàn toàn các hướng tấn công – nhưng nó có thể phá vỡ các kết nối SIP. Cách khác là chặn lưu lượng truy cập từ một địa chỉ IP cụ thể mà được cho là xuất phát từ tin tặc bằng cách sử dụng một danh sách điều khiển truy cập (ACL).

Người dùng cũng có thể áp dụng bộ lọc trên địa chỉ được gửi theo mã 0.0.0.0 vì Cisco đã thấy lưu lượng truy cập vi phạm được đặt thành giá trị không hợp lệ này hoặc thực hiện giới hạn tốc độ trên lưu lượng SIP.

Các sản phẩm và dịch vụ của gã khổng lồ mạng Cisco không xa lạ với các cuộc tấn công, và với những kẻ tấn công trước đây đã khai thác lỗ hổng lên tới 168.000 thiết bị IoT chưa được vá đầu năm nay đang để lại dấu hỏi lớn về an ninh bảo mật.

Cisco lần đầu tiên thừa nhận các lỗ hổng thông qua dịch vụ hỗ trợ kỹ thuật về dịch vụ kỹ thuật (TSA) và thông báo rằng họ sẽ cập nhật thông tin ngay khi có bất kỳ bản vá lỗi nào.

Khôi Linh, Trương Khánh Hợp